– Gravité : 2/4
– Conséquences : transit de données
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 04/05/2009

PRODUITS CONCERNÉS

– McAfee VirusScan

DESCRIPTION DE LA VULNÉRABILITÉ

Les produits McAfee détectent les virus contenus dans les archives
RAR et ZIP.

Cependant, un attaquant peut créer une archive légèrement
malformée, qui peut toujours être ouverte par les outils
Unrar/Unzip, mais que l’antivirus ne peut pas ouvrir.

Trois malformations peuvent être employées.

Un attaquant peut employer un champ Headflags malformé dans une
archive RAR pour contourner l’antivirus. [grav:2/4]

Un attaquant peut employer un champ Packsize malformé dans une
archive RAR pour contourner l’antivirus. [grav:2/4]

Un attaquant peut employer un champ Filelength malformé dans une
archive ZIP pour contourner l’antivirus. [grav:2/4]

Un attaquant peut donc créer une archive RAR ou ZIP contenant un
virus qui n’est pas détecté par les produits McAfee.

CARACTÉRISTIQUES

– Références : BID-34780, CVE-2009-1348, TZO-18-2009,
VIGILANCE-VUL-8686
– Url : http://vigilance.fr/vulnerabilite/McAfee-AV-contournement-via-RAR-et-ZIP-8686